Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

| AE 10964 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA onder de AVG, waarbij werd gekeken naar de zogeheten telemetriedata die Windows- en Office-installaties verzamlen bij de gebruiker en doorsturen naar Microsoft in de USA. Bij Office gaat het mis: deze verzamelt een enorme hoeveelheid data, en dat is niet uit te schakelen.

Het is natuurlijk leuk en aardig dat Microsoft “telemetrie” oftewel statistieken verzamelt, maar dat is in de EU best problematisch omdat dat al héél snel onder de noemer van persoonsgegevens valt. Informatie over wat gebruiker thx1138 doet met zijn Office is een persoonsgegeven, ook al heb je niet de naam van die gebruiker of enig contactgegeven. Zelfs wanneer je aan die meetgegevens een eigen willekeurig toegekende ID hangt, val je nog onder de AVG. Dat voelt als nogal een ontwerpfout.

Met name dat “het kan niet uit” verbaast me hogelijk. Je zou zeggen dat je als bedrijf weet dat het verzamelen van gegevens over wat je gebruikers doen gevoelig kan liggen, zeker in enterprise-omgevingen (en daar hebben we het hier over). Dat is niet iets dat je met een vinkje in de EULA oplost, de belangen zijn daarvoor te groot. Dit mag gewoon niet.

Natuurlijk zal Microsoft vast ergens in de licentievoorwaarden hebben gezegd dat toestemming wordt verleend. Maar dat werkt niet op dit niveau. Software wordt ingekocht onder een groot contract, en deze afspraak moet dáár dan worden gemaakt.

Bovendien: een bedrijf of instelling mag die afspraak alleen maken als ze dat vervolgens aan haar personeel (en/of klanten) kan rechtvaardigen, en dat zie ik hier niet opgaan. Welke noodzaak binnen de arbeidsovereenkomst (aanstelling, het is ambtenarenrecht) is er om deze telemetrie aan Microsoft te verstrekken die het voor eigen doeleinden gaat gebruiken? Welk belang van Microsoft is zo dringend dat de privacy van het personeel mag worden gepasseerd? En heeft de OR wel ingestemd met die telemetrieverstrekking, dat is immers een apart recht onder de Wet OR?

Beloofd wordt om een en ander aan te passen om binnen de Europese regels te blijven, maar dat zal tot ergens in 2019 gaan duren. Dat is nogal lang, dus ik hoop dat er in de tussentijd een firewall of iets tussengezet kan worden zodat de privacy van de ambtenaren gewaarborgd blijft.

Arnoud

Gegevensverwerking in Windows 10 via telemetrie is in strijd met wet

| AE 9745 | Privacy | 38 reacties

De Autoriteit Persoonsgegevens heeft op basis van een eigen onderzoek geconcludeerd dat Microsoft de wet overtreedt door de manier waarop het in Windows 10 gegevens verwerkt. Dat meldde Tweakers vorige week. Uit het onderzoek blijkt dat Microsoft allerlei gegevens van de gebruikers verzamelt, zoals de namen, wachtwoorden, geboortedata, het geslacht, telefoonnummers en e-mailadressen. Dit wordt onder het mom van “telemetrie” doorgestuurd naar Microsoft, maar onduidelijk blijft wat er dan precies mee gebeurt.

Het 241 pagina’s tellende onderzoeksrapport maakt duidelijk dat Microsoft bij gebruikers van Windows 10 voortdurend technische prestatie- en gebruiksgegevens verzamelt van elk apparaat waarop het is geïnstalleerd. Dat heet dan met een mooi neutraal woord “telemetriegegevens”, maar het zijn natuurlijk persoonsgegevens – ze onthullen informatie over de gebruiker, zoals welke apps hij gebruikt of websurfgedrag. Dat is eigenlijk nauwelijks te verantwoorden zonder duidelijke informatie en apart verkregen toestemming.

In de eerste versies van Windows 10 was allesbehalve duidelijk wat er nu precies werd verzameld en voor welk doel. De zogeheten Creators Update veranderde een en ander. Microsoft verduidelijkte dat de telemetriegegevens voor vijf doeleinden gebruikt konden worden:

  1. Fouten oplossen
  2. Apparaten up-to-date en veilig houden
  3. Het verbeteren van Microsoft producten en diensten.
  4. Het tonen van gepersonaliseerde reclame in Windows en Edge, inclusief reclame voor alle apps uit de Windows store
  5. Het tonen van gepersonaliseerde reclame in apps

Die laatste twee waren uit te schakelen, en voor die eerste twee valt wel te verdedigen dat dat misschien wel nodig is in de relatie leverancier-gebruiker. Alleen, bij het onderzoek bleek dat ontwikkelaars nieuwe toepassingen van de data konden implementeren zonder dat daar apart opnieuw melding van (laat staan toestemming voor) gevraagd werd. Een algemene opt-out was er wel, maar dat is niet genoeg (zeker niet omdat ie niet alles outte).

En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet:

Door de combinatie van doeleinden waarvoor de verzamelde gegevens kunnen worden verwerkt en het gebrek aan transparantie, kàn Microsoft geen grondslag verkrijgen voor de gegevensverwerking, zoals toestemming of noodzaak voor de behartiging van haar gerechtvaardigd belang. Daarom kan ook geen sprake zijn van een gerechtvaardigd doeleinde voor de gegevensverwerking bij volledige telemetrie. Daarnaast geldt dat de eerste vier doeleinden zeer algemeen zijn geformuleerd, en daarmee niet voldoen aan het vereiste uit artikel 7 van de Wbp dat doeleinden welbepaald moeten zijn, en uitdrukkelijk omschreven.

Een belangrijk punt waarop Microsoft onderuit gaat, is de informatievoorziening. Nergens is in detail te lezen wat men nu precies verzamelt, laat staan wat daarmee gebeurt. Zelfs systeembeheerders kunnen niet zien wat er allemaal naar Microsoft gaat.

De typische ICT praktijk om in privacyverklaringen “Wij mogen alles doen onder het kader van verbetering van de gebruikservaring” op te nemen en dan te zeggen “dan moet je maar Linux gebruiken” als mensen het niet snappen, is dus eenvoudigweg niet toegestaan onder privacywetgeving. Je moet specifiek en gericht zeggen wat je gaat doen, en als je andere dingen wilt gaan doen dan moet je daar apart op terugkomen. Dat gaat nog een uitdaging worden volgend jaar.

Arnoud